Test równowagi – jak sprawdzić czy Twój prawnie uzasadniony interes może być legalną podstawą przetwarzania danych

Posługiwanie się przesłanką „prawnie uzasadnionego interesu” dla legalizacji przetwarzania danych osobowych jest bardziej skomplikowane niż może się wydawać. Wymaga wypracowania procedur oraz narzędzia, które pozwoli na uzyskanie poprawnego wyniku analizy.

Prawodawca unijny przykłada w RODO dużą wagę do zorganizowania przetwarzania danych osobowych w sposób zapewniający ochronę praw podstawowych, wolności i zasad uznanych w Karcie praw podstawowych Unii Europejskiej.

Po bliższym przyjrzeniu się przesłance prawnie uzasadnionego interesu, można wyróżnić trzy elementy składające się wspólnie na tę podstawę przetwarzania danych osobowych.

 Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit f RODO).

Podsumowując te trzy elementy, które umożliwiają skorzystanie z tej podstawy przetwarzania to:

– niezbędność do celu przetwarzania

– cel musi wynikać z prawnie uzasadnionych interesów

– brak nadrzędności interesów lub podstawowych praw i wolności osoby, której dane dotyczą

Kluczowym warunkiem skorzystania z przesłanki przetwarzania wymienionej w art. 6 ust. 1 lit f) RODO jest przeprowadzenie testu równowagi (ang. balancing test) polegającego na wykazaniu równowagi między interesami administratora a interesami, prawami i swobodami podmiotu danych, czyli osoby, której przetwarzane dane dotyczą.

Rzetelny test równowagi, którego wartość nie zostanie podważona, powinien badać całokształt okoliczności planowanego przetwarzania danych. Test rozpoczyna się od wstępnego ustalenia równowagi interesów obu stron, tzn.:

  • zidentyfikowania prawnie uzasadnionych interesów administratora i celu, w którym są one realizowane, przy czym administrator musi zapewnić, że jego interesy są zgodne z prawem, konkretne i rzeczywiste oraz
  • zidentyfikowania interesów, podstawowych praw i wolności podmiotu danych, które mogą być naruszone przez przetwarzanie danych osobowych.

W kolejnym kroku należy zbadać „niezbędność” przetwarzania dla założonego celu (interesu administratora). Wymaga to ustalenia, czy przetwarzanie danych osobowych, w danych okolicznościach, jest konieczne do zrealizowania prawnie uzasadnionego interesu.

Niezbędność może dotyczyć wszystkich kategorii danych albo części kategorii danych, których przetwarzanie planuje administrator. Niedopuszczalne jest przetwarzanie tych danych, które nie są potrzebne do zrealizowania celu wskazanego przez administratora, jako prawnie uzasadniony interes .

Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (art. 107 ustawy o ochronie danych osobowych)

Test powinien również omawiać:

  • zastosowane zabezpieczenia techniczne i organizacyjne,
  • racjonalnie uzasadnione oczekiwania osób, których dane dotyczą,
  • relacje/istniejący stosunek prawny między osobami, których dane dotyczą, a administratorem oraz
  • wszystkie inne okoliczności dotyczące równowagi na korzyść (albo nie) administratora.

Ostatecznie należy przejść do:

  • określenia, czyje interesy w danej sytuacji mają charakter nadrzędny – administratora, czy osoby, której dane dotyczą oraz
  • udokumentowania przeprowadzonej analizy i wyniku testu.

Nie jest legalne przetwarzanie danych na podstawie „prawnie uzasadnionego interesu”, jeżeli z testu wynika, że interesy osoby, której dane dotyczą są w danej sytuacji nadrzędne wobec interesów administratora.

Nieprzeprowadzenie testu równowagi może stanowić naruszenie RODO i skutkować nałożeniem kary pieniężnej na administratora. Przedsiębiorcy, którzy wyznaczyli Inspektorów Ochrony Danych (IOD) mogą zwrócić się do nich o pomoc w przygotowaniu procedur, instrukcji i w samym przeprowadzeniu testów równowagi.

 

Dla osób zainteresowanych samodzielnym przeprowadzaniem testu przedstawiamy linki do przykładowych wzorów i opinii.

– Wzór ze strony ICO https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/

– Wskazówki i wzór formularza ze strony IAPP –  Załącznik B https://iapp.org/media/pdf/resource_center/DPN-Guidance-A4-Publication.pdf

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_pl.pdf

Autor

Paulina Wirska

Prawnik, specjalista z zakresu prawa ochrony danych osobowych. Autor artykułów branżowych. Trener na szkoleniach z ochrony danych osobowych.

Z tej samej kategorii

Kategorie